恶意攻击软件利用office进行传播攻击

  • A+
所属分类:网络安全新闻

恶意攻击软件利用office进行传播攻击

最近观察到的恶意攻击活动滥用两个链接的Office文档,每个文档利用不同的漏洞,提供FELIXROOT Backdoor,FireEye报告。

攻击始于诱饵RTF文件,声称包含有关环境保护的研讨会信息。打开时,它会尝试利用CVE-2017-0199下载第二阶段有效负载,这是一个使用CVE-2017-11882(公式编辑器漏洞)武器化的文件。

成功感染后,FELIXROOT加载程序组件将被丢弃到受害者的计算机上,以及指向%system32%\ rundll32.exe的LNK文件。LNK文件包含执行FELIXROOT的加载程序组件的命令,将移动到启动目录。

使用自定义加密加密的嵌入式后门组件将被解密并直接加载到内存中。恶意软件具有单个导出功能。

执行后,后门会休眠10分钟,然后检查它是否由RUNDLL32.exe和参数#1一起启动。如果是,则在启动命令和控制(C&C)网络通信之前执行初始系统分类。

除了收集各种系统信息之外,恶意软件还会读取注册表项以获取潜在的管理升级和代理信息。

根据收到的命令,后门可以指纹受感染的机器,删除文件并执行它,启动远程shell,终止与C&C的连接,下载并运行批处理脚本,下载文件和上传文件。

通过HTTP和HTTPS执行与C&C服务器的通信。发送的数据使用AES加密进行加密,并以自定义结构排列。

恶意软件包含用于特定任务的多个命令。一旦执行完所有任务,它就会通过删除LNK文件,创建的注册表项和dropper组件来清除目标计算机上的所有足迹。

“CVE-2017-0199和CVE-2017-11882是我们目前看到的两个最常被利用的漏洞。威胁行动者将越来越多地利用这些漏洞进行攻击,直到他们不再找到成功,因此组织必须确保他们受到保护,“FireEye指出。

  • CE安全网微信群
  • weinxin
  • CE安全网QQ群
  • weinxin
CE安全网

发表评论

您必须登录才能发表评论!